Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=email-malware-scan

Antimalware

È possibile scegliere l’azione da intraprendere se nei messaggi viene trovato del malware.

Scansione avanzata malware e-mail permette di selezionare come gestire i messaggi in maniera più specifica.

Scansione antimalware

In Scansione antimalware è possibile scegliere quale azione intraprendere per i messaggi che contengono malware noti.

Selezionare tra le seguenti opzioni:

  • Elimina
  • Quarantena

Se viene rilasciato un messaggio in quarantena che era stato collocato nella categoria Malware/Virus, l’utente riceverà una nuova e-mail con il messaggio malevolo originale, allegato come file ZIP protetto da password. Il nuovo messaggio e-mail conterrà la password per aprire l’allegato ZIP.

Scansione avanzata di contenuti e proprietà dei file

Nota

Questa impostazione è applicabile sia ai messaggi in entrata che a quelli in uscita.

Se l’opzione Scansione avanzata di contenuti e proprietà dei file è attivata, i metadati del messaggio e dei rispettivi allegati vengono utilizzati nelle regole euristiche per stabilire se l’e-mail contiene malware. Questa impostazione è attivata per impostazione predefinita.

E-mail non sottoposte a scansione

Nota

Questa impostazione è applicabile solamente ai messaggi in entrata.

È possibile selezionare le azioni da intraprendere per i messaggi che non possono essere sottoposti a scansione. Le azioni disponibili sono:

  • Quarantena
  • Elimina
  • Contrassegna riga oggetto
  • Aggiungi banner

Impostazioni dei banner intelligenti

Quando è selezionata l’impostazione Aggiungi banner, verrà visualizzato un banner intelligente nella parte superiore dei messaggi in entrata in formato HTML che non possono essere sottoposti a scansione. Questo aiuta a incrementare la consapevolezza tra gli utenti.

Le impostazioni e il testo predefinito del banner intelligente possono essere modificati. Questo permette di controllare le azioni che gli utenti sono in grado di visualizzare nel banner intelligente. Selezionare tra le seguenti opzioni:

  • Autorizza mittente: se questa impostazione è attivata, gli utenti vedono l’opzione Autorizza mittente nel banner intelligente. Quando un utente clicca su Autorizza mittente, si apre una nuova pagina che conferma che l’indirizzo e-mail del mittente è stato aggiunto al suo elenco di autorizzazione. Gli utenti possono gestire il proprio elenco di autorizzazione dal Self Service Portal di Sophos Central.
  • Blocca mittente: Se questa impostazione è attivata, gli utenti visualizzano Blocca mittente nel banner intelligente. Quando un utente clicca su Blocca mittente, si apre una nuova pagina che consente di aggiungere l’indirizzo e-mail del mittente all’elenco di blocco. Facoltativamente, gli utenti hanno anche l’opzione di segnalare il messaggio ai SophosLabs.
  • Segnala messaggi a Sophos: se questa impostazione è attivata, gli utenti vedono l’opzione Segnala nel banner intelligente. Quando un utente clicca su Segnala, si apre una nuova pagina che consente di segnalare messaggi ai SophosLabs. Questo ci aiuta a migliorare il nostro rilevamento delle minacce.

Nota

Per i messaggi in formato di testo normale, il banner intelligente viene visualizzato come testo all’inizio del corpo del messaggio e utilizza lo stesso contenuto che è stato impostato.

Perché ci sono e-mail che non possono essere sottoposte a scansione?

Quelli che seguono sono alcuni dei motivi per cui sono presenti e-mail che non possono essere sottoposte a scansione:

  • Impossibilità di accedere al file: il file viene identificato correttamente, ma il software non è in grado di accedervi per decomprimerlo o sottoporlo a scansione.
  • File corrotto: il file è corrotto e non è possibile accedervi.
  • Contenuto imprevisto: il file viene identificato correttamente ed è possibile accedervi, ma poi vengono trovati contenuti imprevisti. Il processo della scansione antivirus restituisce un errore.
  • Timeout della scansione: durante la scansione, si verifica un timeout della scansione antivirus. Questo può accadere per vari motivi. Ad esempio, quando un file viene compresso in livelli nidificati multipli oppure quando la scansione antivirus supera il limite di tempo massimo per la scansione.
  • Allegato compresso di grandi dimensioni: se un allegato compresso è troppo grande, non può essere sottoposto a scansione. L’allegato potrebbe essere nidificato in troppi livelli di compressione, i file compressi inclusi potrebbero essere troppo grandi, oppure potrebbero esserci troppi file compressi all’interno dell’allegato.

Questi sono solo alcuni esempi. Potrebbero esserci altri motivi.

Sophos Email esegue comunque la scansione antimalware, anche se si aggiungono l’indirizzo e-mail e il dominio all’elenco Autorizzazione/blocco in entrata o alle e-mail crittografate con Sophos.

Inoltre, mettiamo in quarantena i messaggi che contengono un numero molto elevato di URL. Vedere Protezione Time-of-Click degli URL.

Analisi delle minacce di Intelix

Questa opzione individua i messaggi e-mail che potrebbero includere contenuti dannosi attivi e li invia a un ambiente virtuale isolato, dove vengono aperti e verificati. SophosLabs Intelix rileva le minacce contenute nei messaggi utilizzando l'analisi statica e dinamica. L'analisi statica sfrutta vari livelli di machine learning, reti neurali, reputazione globale, scansione profonda dei file e altro. L'analisi dinamica fa detonare un messaggio in una sandbox per rivelarne la vera natura e la probabilità che si tratti di una minaccia.

I messaggi che potrebbero essere malevoli vengono eseguiti in un ambiente virtuale, per permetterne l’analisi più approfondita.

I messaggi puliti saranno consegnati come di consueto.

È possibile configurare azioni per i seguenti verdetti di Intelix:

  • Elementi dannosi rilevati da Intelix: messaggi che contengono una minaccia nota e verificata.
  • Elementi sospetti rilevati da Intelix: messaggi che non contengono una minaccia nota e verificata, ma che presentano caratteristiche che li rendono sospetti.

Nota

Quando SophosLabs Intelix non riesce a eseguire la scansione di un messaggio, il messaggio viene contrassegnato come “Non scansionabile con Intelix” e messo in quarantena. In questo modo, si evita il rischio di inviare un messaggio dannoso quando la scansione non viene eseguita correttamente.

Per i messaggi di tipo Elementi dannosi rilevati da Intelix, è possibile scegliere tra le seguenti azioni:

  • Quarantena
  • Elimina

Per i messaggi di tipo Elementi sospetti rilevati da Intelix, è possibile scegliere tra le seguenti azioni:

  • Quarantena
  • Consegna
  • Elimina
  • Contrassegna riga oggetto

Quando è abilitata l'opzione Posizione del servizio Intelix, è possibile selezionare la posizione preferita per il servizio.

Selezionare Lascia che decida Sophos (opzione consigliata) per instradare automaticamente i messaggi e ottimizzare la performance.

Quarantena per l’utente finale

Se si sceglie di collocare alcuni messaggi nella quarantena per l’utente finale, i messaggi potranno essere verificati, rilasciati o eliminati dagli utenti. Vedere Quarantena per l’utente finale.